最近qhbpri.dll(***pri)等Qhbpri盗号木马群十分盛行,在查杀中不少网友说删除不了启动项,因为病毒监控了他的启动项目,一旦删除立即恢复,对付Qhbpri木马的解决方法是重命名文件法。
qhbpri木马一般的表现为:
1、在system32下面生成 很多6个字母的dll 且名称为xxxpri.dll(xxx代表随机)
2且所有的dll插入explorer等进程 动态守护 动态监控注册表
注册表启动方式一般如下
一部分通过 HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsNTCurrentVersionWindows下的AppInit_DLLs加载,保证他能在安全模式下运行。
其他一部分通过HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion ExplorerShellExecuteHooks下面创建自己的键,来加载且只要有一个加载成功病毒就不会被彻底干掉所以对付这类病毒必须一网打尽。
Qhbpri木马介绍:
1.下载大量其它木马,使系统速度变慢
该木马在系统连网状态下会大量下载其它木马,使系统响应速度越来越慢,最后彻底失去响应(死机)。
2.变形、复制,普通方式无法彻底清除
该木马变名,变形,大量自我复制(*pri.dll,前面为变名字母),躲避杀毒软件查杀,普通方式清除完后扫描又会出现,无法彻底清理。
3.隐藏深,普通方式难以发现
非法修改Windows注册表AppInit_DLLs达到优先启动的效果,并隐蔽插入到其他程序进程,普通方式难以检测。
如果用户开启有360安全卫士实时保护的“系统关键位置保护”,将会在开机时发现360安全卫士滑出的提示信息:“qhbpri木马”和“未知启动项AppInit_DLLs正在被装入”
4.与木马服务器通讯,盗窃网络财产
将用户网银及网游等帐号和密码通过后台方式发送给指定的木马服务器,使用户财产无形中被盗取。 |
